Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 Amazon 虚拟私有云上启动 vSRX 虚拟防火墙实例

以下过程介绍如何在 Amazon Virtual Private Cloud (Amazon VPC) 中启动和配置 vSRX 虚拟防火墙实例:

步骤 1:创建 SSH 密钥对

远程访问 AWS 上的 vSRX 虚拟防火墙实例需要 SSH 密钥对。您可以在 Amazon EC2 控制面板中创建新的密钥对,或导入由其他工具创建的密钥对。

要创建 SSH 密钥对,请执行以下作:

  1. 登录 AWS 管理控制台,然后选择 Services > Compute > EC2
  2. 在 Amazon EC2 控制面板中,选择左窗格中的 密钥对 。验证工具栏中显示的区域名称是否与您创建 Amazon Virtual Private Cloud (Amazon VPC) 的区域相同。
    图 1:验证区域 Verify Region
  3. 单击 “创建密钥对”,指定密钥对名称,然后单击 “创建”
  4. 私钥文件 (.pem) 会自动下载到您的计算机。将下载的私钥文件移动到安全位置。

  5. 要在 Mac 或 Linux 计算机上使用 SSH 客户端连接到 vSRX 虚拟防火墙实例,请使用以下命令设置私钥文件的权限,以便只有您才能读取它:

  6. 要从 shell 提示符访问 vSRX 虚拟防火墙实例,请使用命令ssh -i <full path to your keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>。如果密钥文件位于当前目录中,则可以使用文件名而不是完整ssh -i <keyfile.pem>/<ssh-key-pair-name>.pem ec2-user@<public-ip-of-vsrx>路径 如 。
注意:

或者,使用 “导入密钥对 ”导入通过第三方工具生成的其他密钥对。

有关密钥轮换的详细信息,请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

步骤 2:启动 vSRX 虚拟防火墙实例

表 1 列出了 vSRX 虚拟防火墙支持的 AWS 实例类型。

vSRX 虚拟防火墙不支持 M 和 C3 实例类型。如果已使用这些实例类型中的任何一种旋转 vSRX 虚拟防火墙,则必须将实例类型更改为 C4 或 C5 实例类型。

表 1:vSRX 虚拟防火墙支持的 AWS 实例类型

实例类型

vSRX 虚拟防火墙类型

vCPU

内存 (GB)

RSS 类型

c5.大

vSRX 虚拟防火墙-2CPU-3G 内存

2

4

硬件 RSS

c5.xlarge

vSRX 虚拟防火墙-4CPU-3G 内存

4

8

硬件 RSS

c5.2xlarge

vSRX 虚拟防火墙-8CPU-15G 内存

8

16

硬件 RSS

c5.4xlarge

vSRX 虚拟防火墙-16CPU-31G 内存

16

32

SW RSS

c5.9xlarge

vSRX 虚拟防火墙-36CPU-93G 内存

36

96

SW RSS

c5n.2xlarge

vSRX 虚拟防火墙-8CPU-20G 内存

8

21

硬件 RSS

c5n.4xlarge

vSRX 虚拟防火墙-16CPU-41G 内存

16

42

硬件 RSS

c5n.9xlarge

vSRX 虚拟防火墙-36CPU-93G 内存

36

96

硬件 RSS

AWS 上的 vSRX 虚拟防火墙最多支持八个网络接口,但可附加到 vSRX 虚拟防火墙实例的实际最大接口数取决于启动该实例的 AWS 实例类型。对于允许八个以上接口的 AWS 实例,vSRX 虚拟防火墙最多只能支持八个接口。

以下是受支持的 C5 实例类型:

  • c5.大

  • c5.xlarge

  • c5.2xlarge

  • c5.4xlarge

  • c5.9xlarge

  • c5n.2xlarge

  • c5n.4xlarge

  • c5n.9xlarge

以下是受支持的基于 AMD 的 AWS 实例:

  • C5a.16xlarge

  • C5a.8xlarge

  • C5a.4xlarge

  • C5a.2xlarge

  • C5a.xlarge

有关 vCPU、内存等实例详细信息的更多信息,请参阅 定价信息

有关按实例类型划分的最大网络接口数的更多信息,请参阅 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

最佳实践:

Instance Type Selection—根据您需要对网络进行的更改,您可能会发现您的实例被过度利用(例如实例类型太小)或利用率不足(例如实例类型太大)。如果是这种情况,您可以更改实例的大小。例如,如果您的实例对于其工作负载来说太小,您可以将其更改为适合工作负载的其他实例类型。您可能还希望从上一代实例类型迁移到当前一代实例类型,以利用某些功能;例如,支持 IPv6。请考虑更改实例以获得更好的性能和吞吐量。

从 Junos OS 18.4R1 版开始,支持 c5.large vSRX 虚拟防火墙实例。这些方法具有成本效益,可提供更好的性能和吞吐量。

要在 Amazon VPC 中启动 vSRX 虚拟防火墙实例,请执行以下作:

  1. 登录您的 AWS 账户。
  2. 导航到 Amazon Market Place >管理订阅,然后搜索vSRX 虚拟防火墙。
  3. 选择“vSRX 新一代防火墙”
    此时将显示 vSRX 虚拟防火墙新一代防火墙 Amazon 系统映像页面。
  4. 单击启动新实例
  5. 选择部署的交付方式、软件版本和地区。单击“继续”以通过 EC2 启动
  6. 选择受支持的实例类型。详见表1
  7. 单击“下一步:配置实例详情”,并指定表2中的字段。展开“高级详细信息”以查看所有设置。
    表 2:AWS 实例详细信息

    设置

    网络

    选择为 vSRX 虚拟防火墙配置的 Amazon VPC。

    为 vSRX 虚拟防火墙管理接口 (fxp0) 选择公共子网。

    自动分配公共 IP

    选择“ 禁用 ”(稍后将分配弹性 IP 地址)。

    放置组

    使用默认值。

    关机行为

    选择 “停止 ”(默认值)。

    • 启用终端保护

    • 监测

    使用您的 IT 策略。

    网络接口

    使用默认地址或为 “主 IP ”字段分配公共 IP 地址。

    用户数据

    从 Junos OS 17.4R1 版开始,cloud-init 软件包(版本 0.7x)预安装在适用于 AWS 的 vSRX 虚拟防火墙映像中,以帮助根据指定的用户数据文件简化在 AWS 上运行的新 vSRX 虚拟防火墙实例的配置。

    在“配置实例详细信息”页面的“用户数据”部分中,选择 “作为文件 ”并附加用户数据文件。所选文件用于实例的初始启动。在初始启动顺序期间,vSRX 虚拟防火墙实例处理 cloud-init 请求。有关如何创建用户数据文件的信息,请参阅 使用 Cloud-Init 在 AWS 中自动初始化 vSRX 实例

    注意:

    作为用户数据传递的 Junos OS 配置仅在初始启动时导入。如果实例停止并重新启动,则不会再次导入用户数据文件。
  8. 单击“下一步:添加存储”,然后使用默认设置或根据需要更改“卷类型”和 IOPS。
  9. 单击下一步: 标记实例,然后指定 vSRX 虚拟防火墙实例的名称。
  10. 单击下一步: 配置安全组,选择选择现有安全组,然后选择为 vSRX 虚拟防火墙管理接口 (fxp0) 创建的安全组。
  11. 单击“查看并启动”,查看 vSRX 虚拟防火墙实例的设置,然后单击“启动”
  12. 选择您创建的 SSH 密钥对,选中确认复选框,然后单击启动实例
  13. 单击 View Instances (查看实例) 以在 Amazon EC2 控制面板中显示 Instances (实例) 列表。启动 vSRX 虚拟防火墙实例可能需要几分钟时间。
  14. 选择实例名称和 Amazon 系统映像 (AMI)(对于 Junos - 选择可用的市场 Junos AMI)。
  15. 选择实例类型 (c5/c6..依此类推),并添加在步骤 1 中创建的密钥对。
  16. 在“网络设置”中,选择在上一步中创建的VPC。选择创建的公有子网(或要在其中启动实例管理接口的子网)。如果需要,分配一个 IP(公有),或者可以在实例启动后将弹性 IP 附加到接口,如步骤 5 中所述。创建安全组或附加已在上一步中创建的安全组。选择适当的入站和出站规则。
  17. 根据需要配置存储和卷。
  18. 配置高级详细信息。选择创建的 IAM 配置文件,根据您的要求配置显示的选项。

    在 CPU 选项中 - 您可以使用默认值,也可以跨 #core 选择每个 CPU 内核的特定线程数。

  19. 配置用户数据。这可以是实例从元数据服务器启动后可以访问的初始配置。

步骤 3:查看 AWS 系统日志

要调试启动时间错误,您可以查看 AWS 系统日志,如下所示:

  1. 在 Amazon EC2 控制面板中,选择 实例
  2. 选择vSRX 虚拟防火墙实例,然后选择“作”>“实例设置”>“获取系统日志”。

步骤 4:为 vSRX 虚拟防火墙添加网络接口

AWS 最多支持八个实例接口,具体取决于所选的 AWS 实例类型。对要添加到 vSRX 虚拟防火墙的每个收入接口(最多七个)使用以下过程。第一个收入接口为 ge-0/0/0,第二个为 ge-0/0/1,依此类推(请参阅 AWS 上 vSRX 的要求)。

要添加 vSRX 虚拟防火墙收入接口,请执行以下作:

  1. 在 Amazon EC2 控制面板中,选择左侧窗格中的 Network Interfaces ,然后单击 Create Network Interface
  2. 表3所示,指定接口设置,然后单击Yes, Create
    表 3:网络接口设置

    设置

    描述

    输入每个收入接口的接口描述。

    选择为第一个收入接口 (ge-0/0/0) 创建的公有子网,或为所有其他收入接口创建的私有子网。

    私有 IP

    输入所选子网中的 IP 地址,或允许自动分配该地址。

    安全组

    选择为 vSRX 虚拟防火墙收入接口创建的安全组。
  3. 选择新接口,选择 “作”>“更改源/传输”检查“,选择 ”已禁用“,然后单击 ”保存“。
    图 2:禁用源/目标检查 Disable Source/Dest. Check
  4. 选择新接口,选择附加,选择 vSRX 虚拟防火墙实例,然后单击附加
  5. 单击新接口名称列中的铅笔图标,为接口命名(例如,ix-fxp0.0)。
注意:

对于专用收入接口(ge-0/0/1 到 ge-0/0/7),请记下您创建的网络名称或网络接口 ID。您稍后将名称或接口 ID 添加到为私有子网创建的路由表中。

步骤 5:分配弹性 IP 地址

对于公有接口,AWS 会将公有 IP 地址 NAT 转换为私有 IP 地址。公有 IP 地址称为弹性 IP 地址。我们建议您将弹性 IP 地址分配给公共 vSRX 虚拟防火墙接口(fxp0 和 ge-0/0/0)。请注意,重新启动 vSRX 虚拟防火墙实例时,弹性 IP 将保留,但会释放公有子网 IP。

要创建和分配弹性 IP,请执行以下作:

  1. 在 Amazon EC2 控制面板中,选择左窗格中的弹性 IP, 单击 Allocate New Address,然后单击 Yes, Allocate。(如果您的账户支持 EC2-Classic,则必须先从网络平台列表中选择 EC2-VPC
  2. 选择新的弹性 IP 地址,然后选择“作” >“关联地址”
  3. 表 4 中指定设置,然后单击 Allocate
    表 4:弹性 IP 设置

    设置

    网络接口

    选择 vSRX 虚拟防火墙管理接口 (fxp0) 或第一个收入接口 (ge-0/0/0)。

    私有 IP 地址

    输入要与弹性 IP 地址关联的私有 IP 地址。

步骤 6:将 vSRX 虚拟防火墙专用接口添加到路由表

对于您为 vSRX 虚拟防火墙创建的每个专用收入接口,您必须将接口 ID 添加到为关联的专用子网创建的路由表中。

要向路由表添加专用接口 ID,请执行以下作:

  1. 在 VPC 控制面板中,选择左侧窗格中的 路由表
  2. 选择为私有子网创建的路由表。
  3. 选择路由表列表下方的 路由 选项卡。
  4. 单击 编辑 ,然后单击 添加其他路线
  5. 表5中指定设置,然后单击 “保存”。
    表 5:专用路由设置

    设置

    目的地

    输入 0.0.0.0/0 作为 Internet 流量。

    目标

    键入关联的专用子网的网络名称或网络接口 ID。网络接口必须位于“ 子网关联 ”选项卡中显示的专用子网中。

    注意:

    不要选择 Internet 网关 (igw-nnnnnnnnnn)。

对每个专用网络接口重复此过程。必须重新启动 vSRX 虚拟防火墙实例才能完成此配置。

步骤 7:重新启动 vSRX 虚拟防火墙实例

要合并接口更改并完成 Amazon EC2 配置,您必须重启 vSRX 虚拟防火墙实例。在 vSRX 虚拟防火墙实例运行时连接的接口在实例重新启动之前不会生效。

注意:

始终使用 AWS 重新启动 vSRX 虚拟防火墙实例。请勿使用 vSRX 虚拟防火墙 CLI 重新启动。

要重新启动 vSRX 虚拟防火墙实例,请执行以下作:

  1. 在 Amazon EC2 控制面板中,选择左侧窗格中的 实例
  2. 选择vSRX 虚拟防火墙实例,然后选择作>实例状态>重新启动

重新启动 vSRX 虚拟防火墙实例可能需要几分钟时间。

步骤 8:登录到 vSRX 虚拟防火墙实例

在 AWS 部署中,vSRX 虚拟防火墙实例默认提供以下功能来增强安全性:

  • 允许您仅通过 SSH 登录。

  • cloud-init 用于设置 SSH 密钥登录。

  • root 帐户禁用 SSH 密码登录。

在 Amazon 的 AWS 云基础架构上启动的 vSRX 虚拟防火墙实例使用 Amazon 提供的 cloud-init 服务来复制与您的账户关联的 SSH 公钥,该公钥用于启动实例。然后,您将能够使用相应的私钥登录实例。

注意:

默认情况下,使用 SSH 密码的 root 登录处于禁用状态。

首次使用 SSH 客户端登录到 vSRX 虚拟防火墙实例。要登录,请指定用户帐户的 SSH 密钥对 .pem 文件的保存位置,以及分配给 vSRX 虚拟防火墙管理接口 (fxp0) 的弹性 IP 地址。

注意:

从 Junos OS 17.4R1 版开始,默认用户名已从 root@ 更改为 ec2-user@
注意:

默认情况下,使用 Junos OS 密码进行 root 登录处于禁用状态。在初始 Junos OS 设置阶段之后,您可以配置其他用户。

如果您没有密钥对文件名和弹性 IP 地址,请按照以下步骤查看 vSRX 虚拟防火墙实例的密钥对名称和弹性 IP:

  1. 在 Amazon EC2 控制面板中,选择 实例
  2. 选择 vSRX 虚拟防火墙实例,然后在 Description 选项卡中选择 eth0,以查看 fxp0 管理接口的弹性 IP 地址。
  3. 单击实例列表上方 的 Connect ,查看 SSH 密钥对文件名。

要为 vSRX 虚拟防火墙实例配置基本设置,请参阅 使用 CLI 配置 vSRX

注意:

vSRX 虚拟防火墙即用即付映像不需要任何单独的许可证。

相关主题

变更历史表

是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。

释放
描述
17.4R1
从 Junos OS 17.4R1 版开始,cloud-init 软件包(版本 0.7x)预安装在适用于 AWS 的 vSRX 虚拟防火墙映像中,以帮助根据指定的用户数据文件简化在 AWS 上运行的新 vSRX 虚拟防火墙实例的配置。